近日，WizCase安全團(tuán)隊(duì)在掃描FBS服務(wù)器時(shí)發(fā)現(xiàn)了嚴(yán)重的數(shù)據(jù)泄露事件，數(shù)以百萬計(jì)的機(jī)密記錄，包括用戶姓名、賬號(hào)密碼、電子郵件地址、護(hù)照號(hào)碼、信用卡、交易數(shù)據(jù)等信息可能落入不法分子手中。

[[390177]]

背景

Forex，是foreign currency(外幣)和exchange(兌換)兩個(gè)詞的合成詞，指一種貨幣兌換另一種貨幣的交易過程，交易理由多種多樣，包括金融、商業(yè)、貿(mào)易和旅游。外匯交易市場(chǎng)的日均交易量超過5萬億美元。外匯交易主要由銀行和全球金融服務(wù)主導(dǎo)，但由于有了互聯(lián)網(wǎng)，如今普通人可以直接涉足外匯、證券和大宗商品交易。

在網(wǎng)上交易的熱潮中，用戶產(chǎn)生的TB級(jí)的機(jī)密數(shù)據(jù)也托付在了外匯交易平臺(tái)上。由于金融交易是外匯交易的核心，這些交易數(shù)據(jù)庫中持有的用戶數(shù)據(jù)的性質(zhì)是高度敏感的，也使得在線交易網(wǎng)站成為網(wǎng)絡(luò)罪犯的一個(gè)有利可圖的目標(biāo)。

FBS一家國(guó)際在線外匯交易平臺(tái)，成立于2009年，在全球190個(gè)國(guó)家/地區(qū)擁有超過40萬名合作伙伴和1600萬名交易員，是世界上核心外匯交易平臺(tái)之一。截至2021年1月，F(xiàn)BS應(yīng)用在Google Play商店中的下載次數(shù)已超過一百萬次。

FBS的用戶數(shù)量眾多，每20秒就有用戶提交一次提款請(qǐng)求，也產(chǎn)生了巨大的交易數(shù)據(jù)，然而與此對(duì)應(yīng)的卻是一個(gè)不安全的ElasticSearch服務(wù)器。研究人員在調(diào)查時(shí)發(fā)現(xiàn)FBS服務(wù)器處于開放狀態(tài)，沒有任何密碼保護(hù)或加密，任何人都可以訪問FBS的信息。

泄露了什么?

近20TB的數(shù)據(jù)遭到泄漏，涵蓋160億條記錄，全球的數(shù)以百萬計(jì)的FBS用戶受到影響。泄漏的信息包括以下內(nèi)容。

用戶基礎(chǔ)信息：

• 姓名和姓氏
• 電子郵件地址
• 電話號(hào)碼
• 帳單地址
• 國(guó)家
• 時(shí)區(qū)
• IP地址
• 座標(biāo)
• 護(hù)照號(hào)碼
• 移動(dòng)設(shè)備模型
• 操作系統(tǒng)
• 發(fā)送給FBS用戶的電子郵件
• 社交媒體ID，包括GoogleID和FacebookID
• 用戶上傳供驗(yàn)證的文件，包括個(gè)人照片、身份證、駕照、出生證明、銀行對(duì)賬單、水電費(fèi)和未編輯的信用卡

用戶詳細(xì)信息：

• FBS用戶ID
• FBS帳戶創(chuàng)建日期
• 以base64編碼的未加密密碼
• 密碼重置鏈接
• 登錄歷史
• 忠誠(chéng)度數(shù)據(jù)包括忠誠(chéng)度等級(jí)、等級(jí)積分、獎(jiǎng)勵(lì)積分、累計(jì)存款、活躍天數(shù)、活躍客戶、累積積分和消費(fèi)積分

以及財(cái)務(wù)數(shù)據(jù)：

用戶交易信息包括存款金額、貨幣、支付系統(tǒng)、交易id、賬戶id、交易日期、存款次數(shù)、最后存款金額、最后存款日期、存款總額、貸方、余額、上月余額、利率、稅項(xiàng)、股本和可用保證金。

每個(gè)數(shù)據(jù)集都可以單獨(dú)為攻擊者提供有價(jià)值的信息，而所有數(shù)據(jù)集結(jié)合起來會(huì)使得用戶面臨的風(fēng)險(xiǎn)變得更大。

[[390178]]

圖1.用戶上傳的護(hù)照和信用卡照片

圖2.某位德國(guó)用戶賬戶信息

圖3.某位澳大利亞用戶賬戶信息

圖4.純文本(base64)密碼

圖5.一筆50萬美金的交易詳單

這對(duì)FBS及其用戶意味著什么?

FBS及其用戶面臨的主要威脅包括:

1. 身份盜竊及詐騙

所暴露的個(gè)人身份信息可以用于跨其他平臺(tái)的欺詐性認(rèn)證，通過姓名、電子郵件地址、實(shí)體地址、護(hù)照號(hào)碼、駕照號(hào)碼、身份證號(hào)碼、電話號(hào)碼、社交媒體ID、信用卡、照片、財(cái)務(wù)記錄等等，可以讓不法分子冒充受害者身份。

2. 詐騙、網(wǎng)絡(luò)釣魚和惡意軟件

泄露的聯(lián)系方式可能被用來對(duì)FBS用戶發(fā)動(dòng)詐騙、釣魚和惡意軟件攻擊。有了這些敏感的真實(shí)數(shù)據(jù)，網(wǎng)絡(luò)罪犯在電話或電子郵件中要求提供信息時(shí)，聽起來會(huì)更可信。

3.信用卡詐騙

為了完成信用卡支付，F(xiàn)BS要求用戶上傳信用卡/借記卡兩面的照片。有了這些圖片，不法分子就不難利用這些信息進(jìn)行信用卡詐騙。

4. 勒索

由于可以訪問電子郵件地址、物理地址、社交媒體id和財(cái)務(wù)記錄，不法分子可以鎖定那些轉(zhuǎn)移了相對(duì)大量資金的用戶進(jìn)行勒索。

5. 個(gè)人安全

由于網(wǎng)絡(luò)罪犯能獲取用戶在FBS上的財(cái)務(wù)交易信息，交易細(xì)節(jié)可能會(huì)讓犯罪分子對(duì)用戶的財(cái)務(wù)狀況有所了解，再加上實(shí)際地址和電話號(hào)碼的泄露，用戶個(gè)人或家庭可能成為實(shí)施犯罪的目標(biāo)。

6. 商業(yè)間諜活動(dòng)

不法分子可以提取FBS用戶的電子郵件地址和電話號(hào)碼，利用這些信息吸引用戶到他們自己的在線交易平臺(tái)。用于定向和吸引用戶使用他們自己的在線交易平臺(tái)。該網(wǎng)站結(jié)構(gòu)上的源代碼和信息被盜，也使第三方更容易克隆FBS網(wǎng)站，然后根據(jù)他們的需要進(jìn)行較小的調(diào)整。

7. 帳戶接管

泄漏暴露的密碼重置鏈接。通過訪問此類敏感信息，只要攻擊者知道用戶的電子郵件地址，他們就可以輕松接管任何FBS用戶的帳戶。此外，有了純文本密碼(用base64編碼)，并知道許多人會(huì)跨平臺(tái)重用密碼，網(wǎng)絡(luò)罪犯可以嘗試在其他平臺(tái)上使用該密碼并接管。

以上未涵蓋用戶和組織因FBS漏洞而面臨的所有風(fēng)險(xiǎn)。在研究人員發(fā)現(xiàn)并告知FBS之后，F(xiàn)BS已增加了相應(yīng)的應(yīng)對(duì)措施來保障服務(wù)器的安全。

本文翻譯自：https://securityaffairs.co/wordpress/115925/data-breach/fbs-data-breach.html